Windows事件追踪工具入门及技巧.docxVIP

PAGE 1 PAGE 1 Windows事件追踪工具入门及技巧  本文将向您推荐Windows事件追踪（ETW）工具，它虽然是个老工具，但用新的视角看待它将会带来意想不到的好处。  虽然大多数Windows开发者都知道Windows事件追踪（EventTracingforWindows，ETW）是一个日志记录和事件追踪工具，但是很多管理员却从没听说过它，只是简洁地认为ETW不过是操作系统供应的事件日志记录与追踪功能的一部分。ETW在内核中运行，可以追踪用户模式应用程序、操作系统内核和内核模式设备驱动引发的事件。  一些操作系统核心组件和第三方应用程序使用Windows事件追踪来供应事件日志记录和追踪。虽然在Windows2000中第一次发布时，Windows事件追踪只有在Windows检查版本中才能使用，但现在它已经是全部Windows版本的内置工具。  Windows事件追踪（ETW）入门  在Windows服务器故障诊断和排错方面，一直就没有多少信息可以参考。管理员总是竭尽所能四处查找各种可能的信息来确定故障。所以就有了诸如进程监视器、进程资源管理器、性能监视器（PerfMon）和性能分析日志（PAL）等多种工具来帮助我们获取远多于事件日志的信息，但不幸的是，有时候我们还需要更多的信息。  ETW无需额外的设备就可以收集足够的信息，而且有诸多优点。例如：  ·使用非页面池的每处理器内核缓冲区，这样不会受到应用程序崩溃和挂起的影响  ·极低的CPU消耗  ·适用用于X86、X64和IA64的系统架构  ·无需重启应用程序就能启动和关闭追踪  Windows事件追踪好像是个伟大的工具，但是使用此工具有个另一个问题，没有图像界面或者用户向导。而且，在输出可分析的结果之前，需要做一些初始化工作。  为了输出有效的结果，您需要一个消费者（consumer）。在WindowsSerer中生成一个名为Tracerpt.exe的消费者。正如您所知道的，Tracerpt命令的特点就是可以供应特定的输出格式，所以重要的是能娴熟把握Tracerpt和Logman这些工具，它们是Windows2003及以后系统的内置工具，如Windows7和Vista。  同样重要的是理解ETW的架构。如图显示，掌握器用于启动和停止一个追踪对话。在windowsServer2003和2008中，掌握器工具是Logman.exe。  图1.ETW架构  WindowsServer2003还包含返回特定事件的一小部分事件供应者，其中包括下面的这些活动目录相关的供应者：  ·ActiveDirectory:Core  ·ActiveDirectory:Kerberos  ·ActiveDirectory:SAM  ·ActiveDirectory:NetLogon  例如，指定ActiveDirectory:Kerberos作为供应者只会返回Kerberos特定事件。  Windows版本不同，事件供应者也有所不同。例如，WindowsServer2003有22个供应者，Windows2008有387个。它供应了更强大的追踪和更多的追踪范围。然而，当涉及LDAP流量时，作为供应者的ActiveDirectory:Core对于两个Windows版原来说基本上是一样的。  您也能捆绑多个事件供应者到一个追踪中。因为上面例子上提到了Kerberos身份验证，所以我在这里仍旧使用ActiveDirectory:Kerberos和ActiveDirectory:Core供应者举例，同时使用Logman命令和参数-PL，如下面的例子所示：  LogmanCreateTraceCoreKerb–pfc:\etw\input.txt–oc:\etw\coreKerb  参数-pf的意思是读一个输入文本文件（如本例中的input.txt）。其格式如图2所示。  图2.输入文本文件格式   本文将向您推荐Windows事件追踪（ETW）工具，它虽然是个老工具，但用新的视角看待它将会带来意想不到的好处。  虽然大多数Windows开发者都知道Windows事件追踪（EventTracingforWindows，ETW）是一个日志记录和事件追踪工具，但是很多管理员却从没听说过它，只是简洁地认为ETW不过是操作系统供应的事件日志记录与追踪功能的一部分。ETW在内核中运行，可以追踪用户模式应用程序、操作系统内核和内核模式设备驱动引发的事件。  一些操